· Resultado: Lo estafaron. El Phisher transfiere los fondos de su cuenta (su dinero) a otra cuenta como si usted mismo lo hubiera hecho.
Para hacer la réplica del sitio objetivo, o sea de una página web, basta solo con que haga la siguiente prueba:
· Ubique cualquier sitio que pida algún inicio de sesión, puede probar con un sistema de e-mail por ejemplo
· Estando en el website, en el explorador abra el menú archivo y seleccione guardar.
Efectúe los siguientes pasos para ver lo simple que es hacer la replica de la página.
1.- Abra el website
2.- Haga click en la página y posteriormente seleccione guardar como…
3.- En la ventana colocamos cualquier nombre y tipo como que se muestra en el gráfico.
Con estos tres (3) pasos el Phisher obtiene de forma sencilla la estructura gráfica para hacer idéntico su sitio al sitio que desea suplantar. Ahora solo tiene que modificar el código para que cuando un usuario coloque sus datos y presioné aceptar, los datos suministrados por éste le sean enviados y así podrá usarlos posteriormente.
Los expertos en seguridad le dirían que este es un Phishing básico, ya hay técnicas que lo pueden hacer más eficiente llevándolo a un nivel más sofisticado empleando:
· Técnicas de pharming (atacar los DNS, el pharming se describirá en el siguiente articulo).
· Infectar el Navegador del usuario con controladores ActiveX para que cuando entre a la web real sobre ponga un iframe en el lugar de los campos de inicio de sesión originales.
Cada país tiene su respectiva ley que sanciona este tipo de delito. Lo importante es que como abogados veamos como el delito se hace y como funciona, para poder entender este tipo de conducta criminal y en que parte de nuestro sistema legal encaja.
En Venezuela existe la Ley contra Delitos Informáticos, y en el artículo 2 de esta ley se identifican dieciséis (16) conceptos informáticos que abarcan desde hardware (el equipo físico), software (aplicaciones), tecnología de información y otros.
Podemos observar en varios artículos cómo encaja el Phishing.
Artículos 6 y 9: Señalan el acceso indebido de personas que sin tener la debida autorización obtengan acceso a un sistema. El objetivo principal del Phishing es la obtención del acceso SIN permiso de la otra persona.
El artículo 7: Se refiere al sabotaje de sistemas. Si el Phishing trabaja con técnicas de pharming esto significa que se está modificando el funcionamiento del protocolo DNS que es el responsable de hacer que cuando se escribe dominio.com se vaya a un servidor determinado en Internet (esto se explicará mas adelante).
El artículo 10: Se refiere a la prestación de servicio. Si el delincuente de cuello blanco contrata a otra persona para que le haga toda la infraestructura para hacer el Phishing, esa persona está cometiendo un delito informático.
El artículo 11: Se refiere al espionaje informático. El delincuente de cuello blanco, al tener acceso a los datos críticos de un usuario, que son esencialmente el nombre de usuario y la clave, tendrá acceso SIN restricciones para entrar al sistema verdadero del usuario y su vez acceso a toda la data o información del usuario. Este artículo establece que con el solo hecho de obtener indebidamente información de un usuario se está cometiendo el delito de espionaje informático.
El artículo 12: Se refiere a la falsificación de documentos. En esto no hay mucho que ahondar, siendo que el Phishing es precisamente la falsificación de un website y que claramente encaja en este articulo.
El artículo 13: Se refiere al hurto. Corresponde perfectamente con los objetivos finales de un Phishing que son la obtención de dinero, obtención gratuita de un servicio, etc.. Estos actos son sancionados en este artículo.
El artículo 14: Se refiere al fraude. Al igual que el artículo anterior todas las características principales de un Phishing (manipulación, inserción de instrucciones falsas, etc.) encajan perfectamente en este artículo.
Autor:
Rafael Maita
Venezuela
| Página siguiente |